Pages : 1
#1 Le 11/02/2018, à 13:23
- zzzeb
modifier la criticité de certains messages dans Rsyslog
Bonjour,
Je souhaiterais configurer la criticité de certains messages loggués (car ensuite sur le critère de la criticité je déclenche un envoi de mail)
Par exemple les logs de sshd sont importants pour moi afin de détecter si quelqu'un tente des connexions vers mon serveur ssh (différent que du simple scan de port loggué au niveau du FW)
J'ai regardé dans /etc/ssh/sshd_config où j'ai :
SyslogFacility AUTH
LogLevel INFO
mais la modification de logLevel semble plutot permettre de ne selectionner qu'une souspartie des logs pour envoi vers rsyslog. Mais pas de modifier la criticité paramétrée
J'ai creusé directement dans rsyslog
https://access.redhat.com/documentation … of_rsyslog
pour voir si un fichier de config permettait de modifier la criticité initiale mais après plusieurs jours, je seche.
Si quelqu'un a une idée ?
Merci !
Hors ligne
#2 Le 19/02/2018, à 20:12
- zzzeb
Re : modifier la criticité de certains messages dans Rsyslog
personne ?
Hors ligne
#3 Le 21/02/2018, à 10:38
- bruno
Re : modifier la criticité de certains messages dans Rsyslog
Bonjour,
Personne, sans doute parce que l'on ne comprend pas ce que tu veux faire…
Si tu veux voir qui tente des connexions SSH, il suffit de regarder /var/log/auth.log. Si tu veux des alertes par courriel concernant le contenu des logs, tu as logwatch ou logcheck.
Hors ligne
#4 Le 23/02/2018, à 20:13
- zzzeb
Re : modifier la criticité de certains messages dans Rsyslog
Merci bruno pour ta réponse !
je vais creuser les 2 logiciels.
Si vous ne comprenez pas c'est que je n'ai pas dû etre très clair
Si je reformule et détaille un peu :
Mon serveur avec sshd envoi tous ses logs ( utilise rsyslog ) vers mon Synology.
Mon Syno reçoit donc tout un tas de logs de mon serveur et sur des critères de gravité (si criticité du log >= à Critical ; donc aussi Alert ou Emergency ) il m'envoie des mails
Par exemple le FW en iptables envoi des logs en "Critical" lors d'accès à certains ports de mon serveur. Du coup mon Syno m'envoie un mail (c'est cool et ca marche bien comme méthode)
Pour sshd j'aimerais que certains de ses logs par exemple ceux là :
sshd[X]: Accepted publickey for X from XXX.XXX.XXX.XXX port XXXXX ssh2: RSA SHA256:XXXX/XX
soient configurés en "Critical" pour bénéficier de la même fonctionnalité d'envoi de mails par mon Syno
Est ce que je suis plus clair ? :-/
Hors ligne
#5 Le 24/02/2018, à 10:13
- bruno
Re : modifier la criticité de certains messages dans Rsyslog
Re,
Ce que tu appelle « critère de gravité » correspond à la priorité du message (info, notice, warn, …, crit, emerg). Je ne crois pas que ce soit configurable et c'est une drôle d'idée de vouloir transformer des messages qui ont une priorité « info » en message critiques.
Il faut prendre le problème dans le bon sens : modifier les réglages de l'application qui t'envoie des courriels plutôt que de changer des paramètres hautement sensibles du système.
Hors ligne